1. 在实际服务器上部署项目时候,用户登录,显示token认证失败
在本地测试中,我写了一个转门用于用户登录认证的认证中心,颁发token我采用ip加密
后的字符串作为服务器key的盐值
代码如下
/**
* 校验用户名或者密码是否正确
* @param blogUser
* @return
*/
@PostMapping("/login")
public R<Map> loginCheck(HttpServletRequest request,BlogUser blogUser) {
// 校验用户名或者密码是否为空
if (blogUser.getPassword() == null || blogUser.getUsername() == null) {
return R.error(ApiErrorCode.USERNAME_OR_PASSWORD_NULL);
}
BlogUser user = loginService.loginCheck(blogUser);
if (user == null) {
return R.error(ApiErrorCode.USERNAME_OR_PASSWORD_ERROR);
}
//通过nginx转发后获取客户端的ip
String currentIp = request.getHeader("x-forwarded-for");
//如果ip为空说明,该请求没有经过nginx,而是直接访问服务端
if(StringUtils.isBlank(currentIp)){
currentIp = request.getRemoteAddr();
//如果此时的ip还是为空,说明nginx转发出现问题
if (StringUtils.isBlank(currentIp)) {
currentIp = "127.0.0.1";
}
}
String token = HttpclientUtil.doGet(constantConfig.getGetTokenurl() +
"?id=" + user.getId() +
"&usernick=" + user.getUsernick() +
"¤tIp=" + currentIp);
Map<String,Object> data = new HashMap<>();
data.put("user",user);
data.put("token",token);
return R.ok(ApiErrorCode.USER_LOGIN_SUCCESS,data);
}
是不是感觉没有任何问题,当然在你本地测试中完全没有问题,分析一下,你本地用户登录时候颁发token的流程
- 首先用户输入用户名和密码,点击登录,
- 后台调用用户登录服务
- 在登录服务中验证用户名和密码是否正确,如果正确发出http请求访问认证中心,颁发token
- 认证中心颁发token
问题就出在,登录服务访问认证中心颁发token,试问,你访问认证中心的这个http请求是用户发来的吗?当然不是啦
是你本地服务器发出的请求访问认证中心,在颁发token的过程中,获取到的ip地址肯定是你本地的IP地址,而不是访问用户的ip地址
因此,我们要做的就是在访问认证中心颁发token的时候,不仅传递用户id以及用户昵称,还需要将用户访问的ip地址传递给认证中心
/**
* Created by AaronShen on 2020/5/29
* 有关ip地址获取的工具类
*/
public class IpUtil {
/**
* 获取当前用户访问的ip地址
* @param request
* @return
*/
public static String getCurrentIp(HttpServletRequest request) {
//通过nginx转发后获取客户端的ip
String ip = request.getHeader("x-forwarded-for");
//如果ip为空说明,该请求没有经过nginx,而是直接访问服务端
if(StringUtils.isBlank(ip)){
ip = request.getRemoteAddr();
//如果此时的ip还是为空,说明nginx转发出现问题
if (StringUtils.isBlank(ip)) {
ip = "127.0.0.1";
}
}
return ip;
}
}
用户登录
/**
* 校验用户名或者密码是否正确
* @param blogUser
* @return
*/
@PostMapping("/login")
public R<Map> loginCheck(HttpServletRequest request,BlogUser blogUser) {
// 校验用户名或者密码是否为空
if (blogUser.getPassword() == null || blogUser.getUsername() == null) {
return R.error(ApiErrorCode.USERNAME_OR_PASSWORD_NULL);
}
BlogUser user = loginService.loginCheck(blogUser);
if (user == null) {
return R.error(ApiErrorCode.USERNAME_OR_PASSWORD_ERROR);
}
String currentIp = IpUtil.getCurrentIp(request);
String token = HttpclientUtil.doGet(constantConfig.getGetTokenurl() +
"?id=" + user.getId() +
"&usernick=" + user.getUsernick() +
"¤tIp=" + currentIp);
Map<String,Object> data = new HashMap<>();
data.put("user",user);
data.put("token",token);
return R.ok(ApiErrorCode.USER_LOGIN_SUCCESS,data);
}